پرونده / مرکز عملیات امنیت چیست و چه کاربرد‌هایی دارد؟

پرونده / مرکز عملیات امنیت چیست و چه کاربرد‌هایی دارد؟
تاریخ انتشار : ۰۱ اسفند ۱۴۰۱

مفهوم مرکز عملیات امنیت یک اصطلاح عمومی برای توصیف یک بخش یا تمام یک سکو و هدفش ارائه‌ی سرویس‌های کشف و واکنش به حوادث امنیتی است. بر طبق این تعریف، مرکز عملیات امنیـت باید پنج عملگر تولید، جمع‌آوری، ذخیره، تحلیل و واکنش به رخداد امنیتی را داشته باشد.

به گزارش گرداب، مرکز عملیات امنیت، تجهیزات امنیتی را به‌منظور سروکار داشتن با رخداد‌های امنیتی به‌طور هماهنگ تجمیع و ایزوله می‌کند ﻭ می‌تواند شرح وقایع و اخطار‌ها را از تجهیزات امنیتی شبکه برای ایجاد یک استراتژی مدیریت امنیت جدید، جمع‌آوری و تحلیل کند. تحلیل همبستگی رخداد یکی از عملکرد‌های اصلی مرکز عملیات امنیت است که می‌تواند از گزارش‌های اشتباه ﻭ تکراری جلوگیری کند، برای یافتن برخی از تهدیدات بالقوه همکاری داشته باشد و کارایی و امنیت شبکه را بهبود بخشد.

مرکز عملیات امنیت یک ساختار فیزیکی و منطقی تخصصی در ارائه سرویس‌های مدیریت‌شده و حرفه‌ای در زمینه امنیـت فناوری اطلاعات است. مرکز عملیات امنیت درواقع یک برج مراقبت است که برای محافظت ۲۴ ساعته در ۳۶۵ روز سـال توسط یک گروه امنیتی شامل تحلیلگران، مهندسان سامانه و آزمون‌کننده‌هایی که به ترتیب برای نظارت در دنیـای واقعـی، مدیریت امنیت تجهیزات و فعالیت‌های ارزیابی امنیت به کار گرفته می‌شوند مورد استفاده قرار می‌گیرد.

مرکز عملیات امنیت از زیرساخت‌های منحصربه‌فرد، شامل یک مجموعه از برنامه‌هـای کـاربردی مختلـف بـرای مـدیریت مسائل امنیتی، تشخیص الگوی حمله، دانش و نگهداشت فناوری و مدیریت دارایی استفاده مـی‌کنـد. مرکـز عملیـات امنیت با مشتری تعامل دارد و خروجی سرویس را با او از طریق یک درگاه ساده‌ی مبتنی بر وب که مملو از محتویات است به اشتراک می‌گذارد. مرکز عملیات امنیت برای فراهم کردن سرویس‌های اصلی امنیت فناوری اطلاعات مورداسـتفاده قـرار می‌گیرد.

به‌طورکلی در راه‌اندازی هر مرکز عملیات امنیت اهداف زیر دنبال می‌شود:

▪ برخورد مناسب و مؤثر با رویداد‌های امنیتی و تأمین امنیت زیرساخت‌های اطلاعاتی در مقابل تهدید‌های احتمالی‌

▪ ارتقا امنیت و پایداری داده‌ها و خدمات به‌وسیله حفاظت از زیرساخت‌های اطلاعاتی، ترافیک، خدمات و داده‌های مشتریان‌

▪ کاهش زمان اختلال در ارائه خدمات به مشتری

▪ بهبود و تسریع در پاسخ‌ها و واکنش‌های امنیتی‌

▪ بهبود کارایی شبکه و کاهش هزینه‌های ناشی از تهدید‌ها و حملات امنیتی‌

کاربردهای مرکز عملیات امنیت‌

مرکز عملیات امنیت برای فراهم کردن سرویس‌های اصلی امنیت فناوری اطلاعات مورداستفاده قـرار مـی‌گیـرد. برخـی از کاربرد‌های مرکز عملیات امنیت در ادامه شرح داده شده است.

- نظارت امنیت‌

سطح پیچیدگی فعلی سامانه‌های فناوری اطلاعات، به دلیل تولیداتی از بعضی اطلاعات است که باید خوانده شوند، تفسـیر شوند و مدیریت و نگهداری شوند. سرویس نظارت، بر روی فعالیت‌های کنترل و کشف بی‌نظمی در شـبکه بـا اسـتفاده از کشف، نگاشت و تفسیر واقعه‌نگاری‌های تولیدشده توسط هر بخش از زیرساخت‌های شبکه عمل می‌کند.

سرویس شامل دو بخش اصلی به‌صورت زیر است‌:

جزء فن‌آوری. شامل یک سکوی مدیریت رخـداد و اطلاعـات امنیتـی مهندسـی و پیـاده‌سـازی شـده بـا هـدف متمرکزسازی و مدیریت واقعه‌نگاری‌ها و در دسترس قرار دادن این اطلاعات برای گروه امنیت اسـت. بـرای ایـن منظور، تمام اطلاعات تولیدشده توسط تجهیزات ارسال، جمع‌آوری و متمرکز می‌شوند. موتور بیشتر اطلاعـات را ذخیره می‌کند و آن‌ها را برای گروه امنیت به‌منظور تحلیل، نگاشـت و ایجـاد گـزارش و مـدیریت بحـران مطـابق باحالت‌های تعیین‌شده و ضمانت‌ها در دسترس قرار می‌دهد.

جزء تحلیل. یک جزء اساسی از سرویس نظارت، تحلیل و جمع‌آوری داده‌های انجام‌شده بـا کارهـای تحلیلـی در مرکز عملیات امنیت است. این فعالیت تنها منحصر به فعالیت‌های قبلی برای اعلان اخطار، پاسـخ‌هـای بلادرنـگ، آماده‌سازی گزارش و مانند این‌ها نیست؛ بلکه شامل پیاده‌سازی قوانین، رویه‌ها و راه‌حل‌ها و شناسایی، ارزیـابی و پیشنهاد راه‌حل‌های لازم و فوری نیز هست. این فعالیت یک فعالیت ارزش‌افزوده است به‌طوریکه توسط تحلیـل‌-های سطح بالا با توانایی‌های تضمین‌شده‌ای که وظیفه آماده‌سازی و مدیریت پروژه‌های امنیتی پیچیده را بر عهـده دارند انجام می‌شود.

- مدیریت شبکه و تجهیزات امنیتی‌

مدیریت شبکه و تجهیزات امنیتی، مدیریت کاربردی عناصر مربوط به زیرساخت یک شبکه خاص را بـه دسـت مـی‌گیـرد. زیرساخت مرکز عملیات امنیت با هدف رسمیت بخشیدن به روش‌های دسترسی و مـدیریت تجهیـزات پیـاده‌سـازی شـده است.

زیرساخت با در نظر گرفتن عناصر زیر طراحی شده است‌:

• انعطاف‌پذیری برای مدیریت فن‌آوری‌های مختلف برای مشتریان گوناگون؛

• روش‌های کاربردی دسترسی و مدیریت به اشتراک گذاشته‌شده توسط کارشناسان مرکز عملیات امنیت؛

• ایزوله کردن و امنیت زمینه‌های مختلف و شبکه؛

• پشتیبانی، نسخه‌برداری و نگهداری پیکربندیها؛

• قابلیت اطمینان و افزونگی بالا.

لیست زیر خلاصه‌ای از فعالیت‌های انجام‌شده توسط سرویس مدیریت شبکه و تجهیزات امنیتی است‌:

مدیریت عادی: پیشنهادها، به‌روزرسانی و الحاق آسیب‌پذیری‌های کشف‌شده جدید؛ اجرای رویه‌های بازگشـتی و عملیاتی؛ به‌روزرسانی امضای سامانه.

حل مسائل‌: همکاری با برنامه‌های کاربردی مشتری، سامانه و مدیران شبکه؛ حل مشکل بی‌نظمی.

نگهداری اصلاحی‌: برنامه‌ریزی و اجرای اقدامات نگهداری عادی و فوق‌العاده با عملیات اصلاحی با هدف افزایش و بهبود سطوح امنیتی زیرساخت مدیریت شده.

نگهداری تکاملی‌: تغییر معماری با هدف به‌روزرسانی تجهیزات مدیریت شده.

مدیریت تغییر: تغییر سیاست و پیکربندی مطابق با برنامه‌ریزی‌های توافق شده؛ معرفی تجهیـزات فیزیکی‌/منطقـی جدید برای زیرساخت؛ مدیریت سیاست کاربر و گروه.

- مدیریت تقلب‌

نام‌های تجاری غیرقانونی بر روی اینترنت باعث افزایش مشکلات شده‌اند که نمی‌توان آن‌ها را نادیده گرفت. سازمان‌هـا – بدون در نظر گرفتن بخش صنعتی‌- برای اطمینان از حق انحصاری استفاده از نامشـان دچـار مشـکلاتی هسـتند. حملـه و سوءاستفاده آنلاین از نام تجاری در انواع و اندازه‌های مختلف‌معمولا با نام دامنه جعلی فروشگاه‌های برخط خـاص اتفـاق می‌افتد.

روش‌های سوءاستفاده مختلف هستند، امامعمولا هدف یکسانی دارند: ایجاد هویت برای شرکتی جعلی. با سرویس مدیریت تقلب مقابله بی‌درنگ با استفاده غیرقانونی از نام تجاری بر روی کل اینترنت امکان‌پذیر می‌شود. از طریق ترکیـب نظارت وب و ثبت‌نام‌های دامنه‌های مرتبط با انجام تحلیل توسط گروه امنیت مرکز عملیات امنیـت، سـرویس یـک برنامـه محافظت از نام تجاری را برای شناسایی سریع در برابر قانون‌شکنان به کار می‌گیرد تا از یک پاسخ پایدار و سریع اطمینـان حاصل کند.

تعدادی از روش‌های گوناگون می‌توانند برای انجام تقلب‌های برخط مرتبط با استفاده از تصویر شرکت به کار گرفته شوند. برخی از آن‌ها در زیر معرفی شده‌اند.

استفاده نامناسب از نام تجاری. شناسایی و حذف تقلب‌های برخط و بازار خاکستری یکی از اهداف مجموعه راه‌-حل‌ها برای محافظت از شناسه شرکت است. آسیب‌ها به نام تجاری و تصویر بـا اسـتفاده از فـروش محصـولات غیرمجاز، تقلب‌ها و منحرف کردن افکار با استفاده از بازار خاکستری در بخش‌های رقابتی را می‌توان با استفاده از راه‌حل‌هایی که باعث افزایش شفافیت بر روی فعالیت‌های برخط غیرقانونی از طریق ساده‌سازی و تسریع رویه‌های شناسایی سوءاستفاده‌ها می‌شود را از بین برد.

شبیه‌سازی قسمت‌هایی از یک سایت اینترنتی فیشینگ. (یک روش تقلب برخط است که از روش‌های مختلفـی برای گمراه کردن کاربر و متقاعد کردن او برای دادن اطلاعات حساس و شخصی خود مانند نام کـاربری، رمـز عبـور، شماره کارت اعتباری و مانند این) استفاده می‌کند. بیشترین حمله از طریق مـتن پسـت الکترونیکـی و پیونـدهای فریبنده برای سایت‌های تقلبی انجام می‌شود. حمله‌کننده‌ها اغلب گروه‌های بزهکاری هستند که انتظار تعداد زیادی از کاربرانی را که در تله می‌افتند دارند و معمولا به اطلاعات دلخواه خود دست پیدا می‌کنند.

فارمینگ‌: این روش برای پشتیبانی از فیشینگ به‌منظور متقاعد کردن کاربر به قانونی بودن سایت‌های تقلبی به کار می‌رود. حمله‌بر روی DNS با استفاده از تغییر آدرس‌های IP مرتبط با سایت‌های شرکت انجام می‌گیرد. در ایـن مورد کاربر نمی‌تواند ازآنچه در هنگام واردکردن کلید‌های درست برای اتصال به سایت موردنظر اتفـاق مـی‌افتـد آگاهی یابد و به یک سایت که برای دزدی از کارت‌های اعتباری است منتقل می‌شود.

استفاده از دامنه‌های منقضی. یک تلاش برای سوءاستفاده از نام تجاری، مانند حمله‌های فیشینگ و فارمینگ، اغلب با استفاده از یک دامنه شامل نام تجاری شرکت یا یک تغییـر در آن انجـام مـی‌شـود. بـه ایـن دلیـل، دامنـه‌هـای ایجادشده‌ای که می‌توانند مورد بهره‌برداری قرار گیرند با این روش همواره نظارت می‌شوند.
سرویس مدیریت تقلب مرکز عملیات امنیت بر یک زیرساخت اختصاصی فنی مبتنی است‌:

نظارت مستمر یک بازه وسیع از داده‌ها به‌منظور یافتن مدارکی برای فعالیت‌های فیشینگ، داده‌های به دست آمده از پست‌های الکترونیکی، گروه‌های خبری، هرزنامه‌ها، مراجعه‌کنندگان و محیط‌های ثبت‌نام؛

جمع‌آوری اطلاعات مربوط به ثبت‌نام دامنه‌های جدید و یا نظارت بر وضعیت دامنه موجود با هدف جلوگیری از استفاده از دامنه‌های ثبت‌شده (یا منقضی) یا دامنه‌های مشابه نام تجاری بـه‌منظـور حفاظـت در مقابـل گـروه‌هـای بزهکار؛

جمع‌آوری و تحلیل فعالیت‌های موتور‌های جستجو بر روی وب به‌منظور جستجو برای صفحات جدیـد اینترنتـی برخی نام‌های تجاری خاص به‌منظور شناسایی استفاده‌های غیرقانونی یا قانونی؛

▪ نظارت پایدار شبکه‌ها و ارائه‌کنندگان سایت‌های مخرب؛

▪ مدیریت فعالیت‌های ارائه‌کنندگان و سازمان‌ها به‌منظور مسدود کردن سایت‌های جعلی مشابه.


- ارزیابی امنیت‌

تست و بررسی فعالیت‌ها باید فاصله بین طراحی هنری و عملکرد واقعی سامانه را پر کند. این فعالیـت‌هـا همچنـین بـرای بهبود وضعیت امنیتی شرکت‌ها بسیار مهم هستند. یک برنامه تست و بررسی کامل و مؤثر با مدیریت عملکرد سامانه تجمیع شده است. این امر به کاربر اجازه می‌دهد تا از حوادث امنیتی جلوگیری کند. به‌بیان‌دیگر، یک فعالیت بازسازی بعدازآنکـه رویدادی مخرب رخ داد می‌تواند یک تلاش غیر مؤثر باشد و مقدار زیادی از پول و فکر را هزینه کند.

فعالیت‌هـای تسـت بایدکاملا در مدیریت ریسک شرکت قرار داده شوند. بااین‌حال، برای استفاده از مدلی که تنها از یک روش نفوذ و اتصال‌۱ استفاده می‌کند محدودیت‌هایی وجود دارد: ارزیابی آسیب‌پذیری نرم‌افزار به تشخیص نواقص آن کمـک مـی‌کنـد بنـابراین نصب وصله‌ها بدون تحلیل علت مشکل، به‌عنوان یک راه‌حل مناسب برای مسائل امنیتی پیشنهاد نمی‌شود.

در این زمینه بسیار مهم است که یک مدیریت صحیح از مخاطره‌های مرتبط با سامانه‌های فناوری اطلاعات شرکت‌ها انجام گیرد. چنین مدیریتی نمی‌تواند بدون چرخه بررسی فعالیت‌ها مؤثر باشد.

این فعالیت‌ها باید شامل موارد زیر باشد:

مردم، کسانی که بایدکاملا آموزش‌دیده و آگاه شده باشند؛

سیاست‌ها و رویه‌های همسو با نیازمندی‌های شرکت؛

فناوری‌هایی که به پیاده‌سازی فرآیند‌های مؤثر کمک می‌کنند. فعالیت‌های تست محدود به جنبه‌های فناورانه محض نیستند، آن‌ها همچنین باید برای عملیات کشف آسیب‌پذیری سـامانه که می‌تواند نتایجی را در یک وضعیت امنیتی غیر صحیح داشته باشد فعال‌شده باشند.
جنبه بسیار مهم دیگر متدولوژی به‌کاررفته برای اجرای آزمون‌ها و ارزیابی نتایج است. بـه‌منظـور سـازگاری نیازمنـدیهـا، ارزیابی امنیت شامل واحد‌های زیر است.

کشف شبکه و سرویس. فعالیت‌های کشف شبکه و سرویس برای ارزیابی آسیب‌پذیری معرفی شده‌اند. هدف آن‌ها جمع‌آوری مقدار زیادی اطلاعات از برنامه‌های کاربردی تست‌شده و سامانه‌ها و از مالکان و مدیران آن‌ها است.

ارزیابی آسیب‌پذیری شبکه. هدف این فعالیت شناسایی تمام سامانه‌های اصلی تست‌شده با استفاده از ابزار پویش خودکار است. استفاده از ابزار خودکار اجازه می‌دهد تا تعداد زیادی سامانه در یک مـدت‌زمـان محـدود بررسـی شوند.

تست نفوذ. هدف این فعالیت استفاده از آسیب‌پذیری‌ها در سامانه‌ها به‌منظور به خطر انداختن جامعیت، محرمانگی و در دسترس بودن اطلاعات و سرویس‌ها است. هدف نهایی این است که درجه امکان‌پذیری یـک حملـه تعیـین شود و خسارات آن در موردی که با موفقیت انجام‌شده است بررسی شود.

تست برنامه‌های کاربردی وب. امنیت برنامه کاربردی باید عموما از طریق یک نـرم‌افـزار طراحـی تضـمین شـود. متأسفانه رویه تعدادی از توسعه‌گران بر این دلالت ندارد که یک مرحله تست استاندارد برای مسائل امنیتی قبل از آنکه برنامه کاربردی منتشر شود قرار دهند. نتیجه آن می‌شود که تعدادی از مسائل امنیتی زمانی شناسایی می‌شوند که نرم‌افزار تولید و منتشرشده است، به‌طوریکه روند ناکارآمد، و اغلب در بازسازی ساختار بسیار هزینه‌بر اسـت. هدف این فعالیت کشف و پیشنهاد تغییرات به‌منظور ارائه به توسعه‌گران نرم‌افزار در مهندسی نرم‌افزار است.

ارزیابی بی‌سیم. شبکه‌های بی‌سیم همان آسیب‌پذیری‌های شبکه‌های سیمی را دارند؛ بااین‌حال، در مورد شبکه‌های بی‌سیم، سیگنال نمی‌تواند درون یک رسانه فیزیکی مانند کابل محدود شود و بنابراین برخی آسیب‌پذیری‌ها فراوان می‌شوند. فعالیت‌های تست می‌توانند برای مشخص کردن مجموعه‌ای از آسیب‌پذیری‌ها مورد استفاده قرار گیرند.

ارزیابی تلفن. هدف این فعالیت شناسایی احتمال نقض امنیت توسط ارتباطات داخلی بین شبکه‌های تلفن قدیمی‌
ﻭ شبکه‌های داده از طریق شناسایی حمله‌های احتمالی داخلی و خارجی و سوءاستفاده‌ها اسـت. تعـدادی از ایـن مشکلات به علت سختی کنترل مودم‌های مجاز و غیرمجاز مورد استفاده است.

- سازگاری سیاست‌

اطمینان از هم‌سویی با سیاست‌های شرکت‌ها و محدودیت‌های استاندارد، روندی اسـت کـه عملکـرد، فکـر و یکپـارچگی حقوقی شرکت‌ها را حفظ می‌کند. فعالیت نمی‌تواند با پیاده‌سازی ساختار خودکار جمع‌آوری و گزارش محدود شود، اما باید شامل عملکرد‌های بسیار پیچیده‌ای باشد:

• تحلیل محتوا در مقایسه با استاندارد مرجع؛

• هماهنگی ساختار‌های سازمان و فرآیند‌ها با نیازمندی‌های اجباری استاندارد؛

• بررسی دوره‌ای نظارت پایدار و اطمینان از سازگاری؛

• انتشار گزارش‌های فنی و مدیریتی.

یکی از سیاست‌های تعریف شده با یک مجموعه از قوانین، لازمه سفارشی بـودن روش اسـت. یـک لیسـت نمونـه از فعالیت‌هایی که می‌توانند برای فهم توانایی‌های موردنیاز مفید باشند به‌صورت زیر است‌:

• توسعه و اصلاح نرم‌افزار

• تأمین نیازمندی‌های امنیتی‌

• تعریف منابع ضروری

• محافظت در برابر نرم‌افزار مخرب‌

• ثبت رخداد‌ها

• محافظت از شبکه‌

• مدیریت مزایا

• شناسایی و تأیید هویت‌

• وقفه‌های نشست‌

• ایزوله کردن سرویس‌های بحرانی‌

• هماهنگ‌سازی جدول زمانی سامانه‌

• تأیید داده‌ها

• رمزنگاری

• محافظت از منبع کد‌ها

• تأیید امنیت سامانه‌

-سیاست امنیت‌

آسیب‌پذیری‌های جدید که مخاطره وقوع فعالیت‌های مجرمانه فناوری اطلاعات را افزایش می‌دهنـد هـر روز کشـف و منتشر می‌شوند. به‌منظور کمینه کردن مخاطرات، تلاش‌های ویژه‌ای باید بـرای افـزایش سـطح امنیـت سـامانه فنـاوری اطلاعات از طریق یک بررسی پایدار امنیت پیکربندی‌ها انجام گیرد. به‌محض آنکه یک سامانه جدید شـروع بـه اجـرا کند، یک مخاطره وابسته به فضای خالی بین سطح امنیت واقعی و وضعیت ایده‌آل که سامانه بدون آسیب‌پذیری اسـت وجود دارد.

این مخاطره به علت آسیب‌پذیری‌های سامانه عملیاتی و برنامه‌های کاربردی آن و با استفاده از پیکربنـدی-های نامناسب ایجاد می‌شود. با گذر زمان به علت کشف آسیب‌پذیری‌های جدید، این مخاطره افزایش می‌یابد.

سرویس سیاست امنیت، تحلیل‌کننده‌ها و تست کننده‌های مرکز عملیات امنیت را با اهداف زیر ارائه می‌کند:

به دست گرفتن عملکرد سامانه و برنامه‌های کاربردی برای یک سطح امنیت مناسب با اصلاح پیکربندیهایی که می‌توانند منجر به آسیب‌پذیری شوند؛

• حفظ یک سطح امنیت بالا برای سامانه‌های عملیاتی و برنامه‌های کاربردی از طریق یک برنامه کاربردی دقیق و یا از طریق میزان‌سازی پیکربندی به‌منظور حذف نقض‌کننده‌های خطرناک امنیت؛

• پیشنهاد راه‌حل‌های جایگزین اگر معماری، پیکربندی‌ها و یا سیاست‌های پیاده شده به برنامه‌های کاربردی یـا اندازه‌گیری‌های صحیح اجازه فعالیت ندهند.